seguridad en las redes
Post on 05-Sep-2015
225 Views
Preview:
DESCRIPTION
TRANSCRIPT
-
Seguridaden las redes /Web
-
Temario
Owasp
Owasp Top 10
Situacin en Colombia
Integra la Seguridad a la Gerencia IT
Por Que Hacerlo
Owasp Entrenamiento
Herramientas
Demos
Contramedidas
-
OWASP
Es un proyecto de cdigo abierto dedicado a determinar y combatir las causas que
hacen que el software sea inseguro.
Orientada a la prestacin de servicios orientados a la Web Sin fines de lucro,
organizacin de voluntarios.
La comunidad OWASP est formada por empresas, organizaciones educativas y
particulares de todo mundo. Juntos constituyen una comunidad de seguridad
informtica que trabaja para crear artculos, metodologas, documentacin,
herramientas y tecnologas que se liberan y pueden ser usadas gratuitamente por
cualquiera.
-
OWASP
The Open Web Application Security Project
140+ Listas de chequeo, herramientas y guas 150 Captulos locales 20,000 desarrolladores, breakers y defensores Citaciones: NSA, DHS, PCI, NIST, FFIEC, CSA, CIS, DISA, ENISA and more..
-
OWASP Top 10
El objetivo del proyecto Top 10 es crear
conciencia sobre la seguridad en
aplicaciones mediante la identificacin de
algunos de los riesgos ms crticos que
enfrentan las organizaciones.
-
OWASP Top 10 - 2013
A1 Inyeccin
A2 Prdida de Autenticacin y Gestin de Sesiones
A3 Secuencia de Comandos en Sitios Cruzados (XSS)
A4 Referencia Directa Insegura a Objetos
A5 Defectuosa Configuracin de Seguridad
A6 Exposicin de Datos Sensibles
A7 Inadecuada Configuracin Funciones nivel de control de
Acceso
A8 Falsificacin de Peticiones en Sitios Cruzados (CSRF)
A9 Uso de Componentes con conocidas vulnerabilidades
A10 Redirecciones y reenvos no validados
-
Situacin Actual
-
Situacin Actual
-
Situacin Actual
-
Situacin Actual
-
Situacin en Colombia
PREGUNTAS?
http://www.zone-h.org/ -
Integrar la Seguridad a Gerencia TI
Seguridad como un Proceso Testeos Regulares Outsourcing Testing No desafi a un Hacker
-
Por que Pentest en sus Propias Aplicaciones
Esto no es tan Duro Numerosas Herramientas Disponibles Ahorra $$$$ Es Divertido
-
Entienda las Amenazas OWASP BWA Entrenamiento
-
HERRAMIENTAS
Mantra W3AF Uniscan Nikto JoomScan Plecost SqlMap Havij Owasp Zap VeraCode Burp
WebSecurify WebInspect Acunetix Etc
-
DEMO
XSS pruebas bsicas Mantra WebSecurify Uniscan W3AF Nikto JoomScan Plecost SqlMap Havij Acunetix Owasp Zap Zombies XSS Vega
-
XSS Pruebas Bsicas
Hola Mundo alert(123); Me estoy desplazando alert(document.cookie); Me estoy desplazando
-
Mantra Portable
-
WebSecurify
NO RECOMENDABLE
-
Google Hacking
Exportaciones de Base de Datos
Base de Datos
http://www.google.com.co/search?hl=es&rlz=1T4GGLL_esCO411CO411&q=ext:sql+inurl:backup+password+"insert+into"&oq=ext:sql+inurl:backup+password+"insert+into"&aq=f&aqi=&aql=f&gs_sm=e&gs_upl=116421l145952l0l49l49l3l37l0l1l329l2117l1.1.5.2l9http://www.google.com.co/search?hl=es&rlz=1T4GGLL_esCO411CO411&q=ext:sql+inurl:backup+password+"insert+into"&oq=ext:sql+inurl:backup+password+"insert+into"&aq=f&aqi=&aql=f&gs_sm=e&gs_upl=116421l145952l0l49l49l3l37l0l1l329l2117l1.1.5.2l9http://www.google.com.co/search?hl=es&rlz=1T4GGLL_esCO411CO411&q=ext:sql+inurl:backup+password+"insert+into"&oq=ext:sql+inurl:backup+password+"insert+into"&aq=f&aqi=&aql=f&gs_sm=e&gs_upl=116421l145952l0l49l49l3l37l0l1l329l2117l1.1.5.2l9http://www.google.com.co/search?hl=es&rlz=1T4GGLL_esCO411CO411&q=ext:sql+inurl:backup+password+"insert+into"&oq=ext:sql+inurl:backup+password+"insert+into"&aq=f&aqi=&aql=f&gs_sm=e&gs_upl=116421l145952l0l49l49l3l37l0l1l329l2117l1.1.5.2l9http://www.google.com.co/search?hl=es&rlz=1T4GGLL_esCO411CO411&q=ext:sql+inurl:backup+password+"insert+into"&oq=ext:sql+inurl:backup+password+"insert+into"&aq=f&aqi=&aql=f&gs_sm=e&gs_upl=116421l145952l0l49l49l3l37l0l1l329l2117l1.1.5.2l9http://www.google.com.co/search?hl=es&rlz=1T4GGLL_esCO411CO411&q=ext:sql+inurl:backup+password+"insert+into"&oq=ext:sql+inurl:backup+password+"insert+into"&aq=f&aqi=&aql=f&gs_sm=e&gs_upl=116421l145952l0l49l49l3l37l0l1l329l2117l1.1.5.2l9http://www.google.com.co/search?hl=es&rlz=1T4GGLL_esCO411CO411&q=ext:sql+inurl:backup+password+"insert+into"&oq=ext:sql+inurl:backup+password+"insert+into"&aq=f&aqi=&aql=f&gs_sm=e&gs_upl=116421l145952l0l49l49l3l37l0l1l329l2117l1.1.5.2l9http://www.google.com.co/search?hl=es&rlz=1T4GGLL_esCO411CO411&q=ext:sql+inurl:backup+password+"insert+into"&oq=ext:sql+inurl:backup+password+"insert+into"&aq=f&aqi=&aql=f&gs_sm=e&gs_upl=116421l145952l0l49l49l3l37l0l1l329l2117l1.1.5.2l9http://www.google.com.co/search?hl=es&rlz=1T4GGLL_esCO411CO411&q=ext:sql+inurl:backup+password+"insert+into"&oq=ext:sql+inurl:backup+password+"insert+into"&aq=f&aqi=&aql=f&gs_sm=e&gs_upl=116421l145952l0l49l49l3l37l0l1l329l2117l1.1.5.2l9http://www.google.com/search?q=inurl:"phpmyadmin/index.php" intext:"[ Edit ] [ Create PHP Code ] [ Refresh ]"http://www.google.com/search?q=inurl:"phpmyadmin/index.php" intext:"[ Edit ] [ Create PHP Code ] [ Refresh ]"http://www.google.com/search?q=inurl:"phpmyadmin/index.php" intext:"[ Edit ] [ Create PHP Code ] [ Refresh ]"http://www.google.com/search?q=inurl:"phpmyadmin/index.php" intext:"[ Edit ] [ Create PHP Code ] [ Refresh ]"http://www.google.com/search?q=inurl:"phpmyadmin/index.php" intext:"[ Edit ] [ Create PHP Code ] [ Refresh ]" -
Uniscan
-
W3AF
-
W3AF
-
NIKTO
cd /pentest/web/nikto/ ./nikto.pl -update
-
JOOMSCAN cd /pentest/web/joomcan/ ./joomscan.pl update ./joomscan.pl -u www.victima.com
http://www.victima.com/ -
PLECOST cd /pentest/web/plecost/ ./plecost-0.2.2-9-beta.py R wp_plugin_list.txt ./plecost-0.2.2-9-beta.py i wp_plugin_list.txt o resultado.txt www.victima.com
inurl:/wp-content/ site:ec /wp-admin
http://www.victima.com/https://www.google.com.ec/search?q=inurl:/wp-content/+site:ec++++++++++&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-ahttps://www.google.com.ec/search?q=inurl:/wp-content/+site:ec++++++++++&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-ahttps://www.google.com.ec/search?q=inurl:/wp-content/+site:ec++++++++++&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-ahttps://www.google.com.ec/search?q=inurl:/wp-content/+site:ec++++++++++&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-ahttps://www.google.com.ec/search?q=inurl:/wp-content/+site:ec++++++++++&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-ahttps://www.google.com.ec/search?q=inurl:/wp-content/+site:ec++++++++++&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-ahttps://www.google.com.ec/search?q=inurl:/wp-content/+site:ec++++++++++&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-ahttps://www.google.com.ec/search?q=inurl:/wp-content/+site:ec++++++++++&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-a -
SQLMAP cd /pentest/database/sqlmap ./sqlmap.py --update ./sqlmap.py --wizard
-
HAVIJ
-
Acunetix
-
Owasp Zap
-
Zombis XSS
-
Contramedidas
WAF (Web Aplicattion Firewall) OSSIM Ojo con las Prcticas Empresariales Control de Calidad de Software Confi en el OutSourcing de Seguridad Realice Testeos Propios 3 Veces al ao Contrate Testeos Especializados 1 Vez al Ao Actualice Su Software Permanentemente No Desafi a Una Comunidad de Seguridad
-
Libros Informtica 64
http://www.informatica64.com/
top related